- 请注意安全建议 —— 介绍攻击方法的目的是提醒安全意识。你能看到攻击有多容易,所以,必须警惕
这似乎是个老问题了。但是,直到如今依旧有很多人不了解这种攻击形式如何具体操作 ,也就难以针对性防御;甚至还有很多人仍不了解政府间谍和恶意行为者可能的基本操作。
我们分析过《当局抓人的诸多手段》 —— 任何政府间谍都可以使用这些手段,因为这些手段所基于的数字技术是全球共享的。不同的仅仅是有些当权者拥有额外的便利。这其中最大便利的拥有者是美国和中国。
所有这些都是安全防御失败的教训。血淋淋的教训 —— 已经有人因说出真相而面临10年的监禁。
判刑之所以会发生是因为当局拿到了“证据”。反之,只要行动者不让对手轻易拿到证据,就是保证安全的基本方法。
上面那篇文章很重要。
但本文即将解释的是另一种很基本的威胁 —— 每个人都有可能面对的危险。尤其是在中国,因为据称中国当局甚至可以“随意检查手机”,甚至没收你的电子设备。
甚至,⚠️根本不需要没收你的设备 —— 不需要物理接触你的设备 —— 也能实现同样目的的攻击。
⚠️手机是非常不安全的东西,现在您知道了,不仅仅是因为智能手机本身就是监视器;并且,手机号码本身和其作为身份验证渠道的使用,令其增加了很多不同的危险性。
不幸的是,如今这个世界上的智能手机比活人还多。
这些被随身携带的监视器中包含大量的个人信息、私人文件和敏感数据。
如今的人们出门完全可以不带钱包(他们乐于使用在线支付),甚至不带钥匙(指纹锁的流行),但是很难不带手机,无法不令这个监视器随时随地的跟着你。想想看,这意味着什么?…… 太多危险了。
新闻故事会误导你。就如苹果与FBI案等新闻有助于传播这样的*误解*:似乎移动设备被PIN或生物识别技术锁定、加密和保护,那么它就是“安全的”。
这是十足的误解。
事实是,⚠️包括iOS和Android在内的主要操作系统都在帮助您、甚至鼓励您通过某些功能和不安全的设置来降低锁定设备的安全性。
再次强调:上述对安全的误解似乎很深远:在香港的抗议活动中,也有英文媒体赞赏过活动家“迅速锁定屏幕”(禁用人脸识别功能)的安全措施,在这里看到《香港的抗议活动中再次强调了你的脸如何成为武器》。
⚠️但是,必须知道,仅仅如此锁屏并不能真正保证安全。
并不是说锁屏不对,绝不是,而是说,与此同时您还应该与其他安全措施协调使用,才能真正起到保护作用(本文后面将有具体解释)。
移动设备上的所谓私人助理非常受欢迎。 Siri、OK Google、和 Cortana 这些 只是其中的几个;它们可以执行多项任务,包括通话、发送电子邮件、和阅读SMS等诸多**敏感动作**。
⚠️你有没想过它们的风险都包括什么?你是否可以信任它们?
本文将带您研究锁定状态下移动设备的安全性 —— 您可以从中发现问题,并理解到如何保护自己。
警惕媒体对指纹/面部解锁合宪性问题的炒作,因为这一议题本身有可能在安全角度上转移注意力。
短信是不安全的(众所周知)
多年来,安全社区一直在谈论SMS的不安全性以及为什么不应该将SMS用作出于安全目的的任何安全通道。
但是似乎没有多少人在听。
使用 Google 搜索有关此问题的文章时,我使用了年份过滤器来查看关于这一提醒可以回溯多长时间的文章。
简单的搜索就可以找到至少从2014年开始就不断出现的相关提醒。然而,现在马上就到2020年了,SMS仍然是传递2FA代码或至少提供后备选项的默认方法。这是多么大的悲剧。
考虑到今天我们仍在发现更老的漏洞,例如缓冲区溢出和SQL注入,我想这并不奇怪。看起来我们很难摆脱众所周知的攻击媒介。
但是,我们可以达成共识的是,使行业在安全性方面向前发展的一种有效方法是 —— 意识。
无论是通过学术研究、负责任的披露、还是通过给新型漏洞打个好名字来吸引抢流量的媒体们 ……如果每个人都在谈论它,那么该行业往往就会做出反应。
所以,请坚持不懈地重复这些常识,直到他们做出改变。
2FA 只是所有问题中最小的那个
由于某种原因,每次我们讨论SMS协议的不安全性时都将会重点放在2FA上。
但是,⚠️使用SMS采取的其他敏感措施远比2FA更糟糕。例如,密码重置。
人们已经习惯于通过接收带有点击链接的电子邮件来重置密码。但是,您也许已经想到,知道你的电邮地址的攻击者还有其他方法可以选择重设密码。
也就是说,通过短信甚至自动电话重置密码。
因此,您可以了解通过SMS重置密码的常见方式,Facebook、Google、Twitter、WordPress、LinkedIn、Paypal、Instagram、Netflix 和 Ebay 这些只是支持该功能的 Alexa 前100网站中的一小部分而已。
如果可以直接重置密码,谁还在乎2FA?
⚠️攻击向量
如果你也同意SMS不安全,并且知道Web服务支持通过此通道重置密码,那么攻击媒介将是什么样的?如下:
- 获取受害者的电子邮件
- 用它在所有网站上启动密码重置
- 从短信中获取密码
- 使用它们来完成所有网站中的密码重置过程
- 设置新密码
⚠️如果你能做到所有这些,就可以劫持任何人的帐户。
已经有很多非常好的文章谈论不同场景下的SMS攻击媒介;本文将向您展示:⚠️攻击者如何可以在短时间内物理访问受害人的移动设备 —— 是在锁定的状态下、使用PIN或生物识别技术和加密保护的情况下,执行此操作。
你会发现,锁定和安全可能一点关系都没有。
获取受害者的电子邮件
电子邮件地址并不完全是秘密,但出于本研究的目的,我们*假设它是未知的*。
在提出的方案中,我们可以物理访问该设备,但设备已被锁定。
过去,您只需问 “Who am I”,它就会显示有关所有者的信息,包括电子邮件。如今,信息可能仅限于电话号码,可能是出于隐私原因。我们这里的攻击计划需要规避这一限制。
我们可以利用这个所谓的助手并要求其将电子邮件发送到我们控制的特定电子邮件地址。
这样,当收到电子邮件时,我们就可以查看发件人,并确定移动设备所有者的电子邮件地址。
⚠️您是否知道任何人都可以从您的移动设备发送电子邮件,即使它已被锁定?⚠️
从短信中获取密码
攻击者所需的最重要信息是完成密码重置过程所需的临时码。
如果设备被锁定,我们如何获得这个临时码?
尽管我没有统计证据,但是从日常观察结果中我就可以告诉您:大多数人都启用了锁屏上的通知功能。
这是什么意思?
这意味着为了方便起见,用户不仅希望在设备锁定时启用移动助手,而且还希望查看包括SMS在内的通知,而无需将其解锁并打开特定的应用程序。
简单说,懒。
⚠️可以实际访问移动设备的任何人都可以查看通知内容,而无需解锁设备。
这非危险,推荐这个故事《如何在不到2分钟的时间内使用Venmo和Siri窃取$ 2,999.99》。
缺少的三个步骤
现在,我们知道了如何获取受害者的电子邮件地址,并且可以在锁定屏幕上读取临时代码,接下来只需要完成攻击向量中缺失的步骤即可实现攻击:
使用电子邮件“在所有网站中发起密码重置”,使用临时代码“在所有网站中完成密码重置过程”,以及“设置新密码”。
要求移动助手发送电子邮件并阅读代码是我们可以在几秒钟内完成的事。但是,缺少的其他三个步骤需要更多一些的时间。
如果攻击的目标是损害某人的数字生活,那么你希望劫持的可能不是一个人,而是尽可能多的在线帐户。
时间有限。受害者去洗手间时可能只是把手机放在桌子上无人看管;或者,受害者可能丢失了手机,然后正急于移至下一台计算机以进行远程擦除。
听起来很紧迫,所以,⚠️攻击者需要自动化攻击过程 …
Ransombile
Ransombile 是一个自动化工具,它可以自动执行密码重置过程,并允许您同时针对多个站点自动执行整个流程。
目的是使在上述提出的攻击向量中花费时间最长的三个步骤自动化提速。
Ransombile 监视攻击者的电子邮件收件箱中是否有传入电子邮件,并自动填充受害者的电子邮件地址,以启动所有网站的密码重置过程。
这样做之后,该工具将等待攻击者输入不同站点的临时代码,以通过设置攻击者选择的密码来完成该过程。
在开发该工具时,我开始研究诸如 Paypal 和 Facebook 之类的流行服务的 API,以了解密码重置流程,并实施该密码重置流程,以便该工具可以自动执行此操作。
很快就意识到这种方法存在一些问题。
这需要时间,这很乏味,我发现我经常遇到验证码的挑战,而不是在工具重置密码时遇到挑战。另外,我的最终目标是编写一个可以轻松扩展以支持更多在线服务的工具,该工具允许通过SMS重置密码。
这就是为什么我想到使用 Selenium 。
Selenium 是一个库,可让您以编程方式在UI级别与浏览器进行交互。开发人员可以使用它来测试图形用户界面。
它基本上模拟了人类的单击按钮、填写表格并通常在站点中导航。
事实证明,Selenium 是该问题的完美解决方案:
- 简便:Selenium 的API非常简单明了,就像CSS那样;
- 速度快:有些浏览器扩展程序可以记录您与网站的互动并自动生成 Selenium 码;
- 方便:我发现使用 Selenium 来自动执行密码重置过程时,对验证码的挑战并不多,因为网站无法说出这不是人工点击。
您可以从Github存储库中获取 Ransombile。
演示
下面的视频演示了 Ransombile 的工作原理,以及,⚠️如何在不到3分钟的时间内物理访问锁定设备的情况下危及目标人的数字安全。
希望安全团队可以使用此工具来演示SMS的另一种攻击媒介,并帮助公司出于安全目的而不再支持短信验证,并转向更安全的渠道。
我们可以做得更好吗?
您可能会想……这很好,但是攻击者需要对设备进行物理访问,拒绝任何物理访问就行了,所以没什么大不了的。
好吧,事实上这仅仅表示的是有针对性的攻击,但是 ,⚠️我仍然想探索在**不需要物理访问设备**的情况下能够实现此目标所需的条件。
重新回到上面的五步攻击媒介,你能看到其中只有两个步骤需要物理访问设备:
- 获取受害者的电子邮件:我们需要告诉设备个人助理发送电子邮件以获取受害者的电子邮件地址。虽然不难获得电子邮件地址,但要假设我们不知道该电子邮件地址;
- 从短信中获取密码:我们需要查看传入的短信以获取临时码,完成密码重置。
让我们看一下最新技术,看看是否可以将以前的研究用于我们的目的。
获取受害者的电子邮件
你需要考虑的问题是:如何触发个人助理指令而无需与设备进行物理交互、并且无需受害者注意它。
首先,推荐:《Hidden Voice Commands》by Nicholas Carlini, Pratyush Mishra, Tavish Vaidya, Yuankai Zhang, Micah Sherr, Clay Shields, David Wagner & Wenchao Zhou
上面这些研究人员找到了一种干扰的方法。这个想法是,您可以在受害者旁边玩“杂音”并触发命令,而受害者却没有意识到。
还记得伟大的汉堡王广告吗?下面的视频。⚠️它提醒注意:设备是一直在倾听一切的!
其次,推荐 “DolphinAtack: Inaudible Voice Commands” ,by Guoming Zhang, Chen Yan, Xiaoyu Ji, Taimin Zhang, Tianchen Zhang, Wenyuan Xu
这一次,与之前的攻击方式大相径庭。在这种情况下,上面这些研究人员 ⚠️ 通过以人类耳朵听不到的低频发送音频,来向移动设备发送命令。
这比以前的攻击要更好很多了,下面是演示视频演示,因为,⚠️没有人能够听到任何声音,但移动设备可以听到,并且很乐意听从。
再推荐一个,“Remote Command Injection on Modern Smartphones” by Chaouki Kasmi & Jose Lopes Esteves
这是我最喜欢的一个。
这些家伙展示了他们如何将语音命令转换为电磁波,⚠️并使移动设备通过耳机线圈甚至充电线接收,并将其转换为电信号。
这项研究工作非常出色,您应该阅读该论文。
从短信中获取密码
攻击需要临时代码才能重置密码。⚠️如何在不访问受害人设备的情况下读取发送给受害人的短信代码?
继续推荐:《SS7: Locate. Track. Manipulate》by Tobias Engel at CCC
⚠️7号信令系统可用于跟踪和窃听受害者的电话、以及其他攻击媒介。它非常不安全。
还有,《Practical Cellphone Spying》by Kristin Paget at DEF CON 18
通过干扰对应于3G、4G和 LTE 的GSM频率,可以执行降级攻击,并迫使移动设备使用2G。
因为,⚠️2G网络可能使用的是经证明已损坏的A5 / 1流密码。可以通过使用特定的彩虹表(一种破解哈希算法的技术)对诸如 SMS 之类的加密数据进行解密。
继续推荐《Traffic Interception and Remote Mobile Phone Cloning with a Compromised CDMA Femtocell》by Doug Deperry & Tom Ritter at DEF CON 21
Femtocells 是小型蜂窝基站,可用于改善覆盖范围,特别是在室内。
⚠️就像其他任何计算机一样,可以对其进行黑客攻击,从而使攻击者在攻击者的移动设备和carrier之间拥有一个“中间人 ”位置。
此外,关于SIM卡交换攻击已经讲过很多了,目前这种“经典”的攻击形式特别流行。
不论是通过社交工程伎俩骗取合作,还是与流氓员工内外勾结,这类攻击形式大多时候都能顺利执行。
POC || GTFO
这里提出的使用 Ransombile 而不需要物理访问受害者设备的建议纯粹是理论上的。我没有演示来支持我的主张,您应该始终提出要求。
说说很容易,不幸的是做GSM的东西会带来很多法律问题,因此我决定不采用这种理论。但我仍然认为值得分享,以备您可能需要研究。
例如,你可以想象:一个攻击者在电梯中就站在受害者旁边的情况,⚠️攻击者的背包里装有运行 Ransombile 的树莓派和SDR硬件,以触发语音命令并拦截SMS。
⚠️安全建议
总结一下,这是我为您提供的安全建议列表:
- 任何时候不要让您的移动设备无人看管,即便锁屏
- 在锁定屏幕中禁用助手
- 在锁定屏幕中禁用通知预览
- 始终使用2FA
- 如果不是特别特别的需要,请坚持拒绝提供您的电话号码
- 使用虚拟号码来防止开源情报侦查追踪和SIM交换攻击(在这里看到虚拟号码的选项)
- 检查设置以禁用任何不安全的短信服务
以下是演讲视频(Ransombile: Yet another reason to ditch SMS):